Los correos electrónicos de phishing y spam tienen que superar una serie de barreras para llegar a la bandeja de entrada. ¿Todas las defensas están en su sitio?
Desde que el correo electrónico se ha vuelto popular, quizás la forma más efectiva en que los malos han estado explotando a la gente es con ataques de phishing con lanzas. Estos son los mensajes de correo electrónico enviados a individuos específicos, o a veces a todo un grupo de personas, para tratar de hacerles hacer clic en un enlace o archivo opena que contiene un virus. Desde los sistemas comprometidos, los atacantes pueden hacer cualquier cosa que el usuario pueda hacer, incluyendo leer las pulsaciones de teclas, registrar contraseñas, documentos, información bancaria, etc. Los correos electrónicos de phishing se han convertido en un problema de tal magnitud que a lo largo de los años se han establecido una serie de procedimientos de seguridad para protegernos de este tipo de ataques. Como profesionales de TI, nos ocupamos de las consecuencias. Nos encargamos de los usuarios y sistemas que ya estaban comprometidos. He aquí una mirada desde el otro lado, que muestra una visión interna de cómo se elaboran, diseñan y envían estos correos electrónicos, junto con algunas de las barreras que estas personas tienen que superar.
Hay una idea errónea en el público en general de que las únicas personas capaces de hackear grandes corporaciones son los súper geeks, vestidos con ropa elegante, y pagados millones por el crimen organizado para poder llevar a cabo sus ataques. En la mayoría de los casos, ese no es el caso. La mayoría de los hacks no ocurren porque algún hacker muy inteligente descubrió una forma de romper un método de encriptación; en cambio, ocurren porque alguien comete un error. Puede ser que el diseñador de uno de los muchos portales web de la corporación haya dejado un error y alguien lo encuentre, o más a menudo que nunca, después de que el atacante envía miles de correos electrónicos de phishing, sólo una persona dentro de la organización toma la decisión equivocada y lo abre. Desde allí, el atacante se ha afianzado dentro de la red corporativa. La gente puede hacerlo por diversión, por un acto de hacktavismo, o por dinero, entregando los datos piratas a organizaciones criminales, a menudo por sólo unos pocos euros por cada cuenta robada.
El primer reto para el mal tipo es el propio SMTP, el protocolo utilizado para enviar correos electrónicos. En los viejos tiempos, cualquiera podía ejecutar su propio servidor de correo en su casa y empezar a enviar correos electrónicos de spam. Ahora, la mayoría de los proveedores de Internet son mucho más estrictos. Muchos bloquean el envío de mensajes de correo electrónico por ti mismo, en lugar de requerirte que utilices un servicio externo como Gmail, Yahoo o Hotmail. Estos a su vez tienen un montón de filtros y comprobaciones automatizadas para detectar y bloquear los correos electrónicos no deseados. El uso de clientes de correo electrónico tradicionales no sería muy eficaz si desea enviar muchos correos electrónicos de phishing, por lo que lo que los atacantes suelen hacer es utilizar un software de envío masivo de correo electrónico para derrotar algunas de estas protecciones. Las herramientas modernas incluyen todo tipo de funciones que les permiten enviar sus correos electrónicos. La primera es la capacidad de escalonar el envío. Al hacer clic en un botón, puede tener los correos electrónicos programados durante toda la noche con una pausa de unos segundos entre cada uno. También ofrecen funciones de proxy. Al cargar una lista de direcciones proxy, o servidores que pueden funcionar como relés, puede parecer que provienen de varias direcciones de todo el mundo.
El siguiente conjunto de barreras está dirigido a analizar los mensajes recibidos y tratar de ver si son legítimos. Una gran característica de los correos electrónicos de phishing es que parecen provenir de un dominio legítimo, pero en realidad no lo son. Si el atacante está intentando hacerle creer que el correo electrónico proviene de PayPal, la dirección del remitente debe tener ese nombre de dominio en él. Aquí es donde entran en juego dos tecnologías: SPF y DKIM. El Sender PolicyFramework, o SPF, funciona a nivel SMTP para comprobar si la IP de origen está autorizada a enviar mensajes de correo electrónico en nombre de ese nombre de dominio. Obviamente, si alguien en Rusia está intentando enviar un correo electrónico que afirma que proviene del nombre de dominio de PayPal de EE.UU., esto debería ser una señal de alarma, y lo es, gracias a SPF.
DKIM no comprueba las IPs, sino que firma el contenido de los mensajes. El estándar de correo identificado DomainKeys es utilizado por muchos servidores de correo y añade un encabezado a cualquier mensaje de correo electrónico que pase por ese servidor. Luego, otros servidores que reciben este mensaje pueden consultar al sistema DNS la clave para verificar la firma. De esta manera, una persona u organización puede asumir la responsabilidad de los mensajes enviados desde un dominio en particular. Por supuesto, no todos los dominios utilizan SPF o DKIM, pero si lo hacen, pueden anunciar este hecho con una DMARCentry en su DNS. Por último, hay una última forma de evitar que un correo electrónico malo llegue en primer lugar, y es con las listas negras. Spamhaus es quizás el proveedor más conocido de listas de correo basura. En asociación con muchas empresas de Internet, mantienen un seguimiento de las direcciones IP que envían spam y crean listas de direcciones bloqueadas, de modo que un servidor puede comprobar rápidamente la IP de origen y, si está en la lista, simplemente cierra la conexión, lo que obliga a los atacantes a buscar constantemente nuevos proxys.
Si un atacante es lo suficientemente listo como para eludir estas protecciones, entonces la única protección que queda es en forma de filtros de spam, a menudo instalados ya sea en un servidor web o en ordenadores locales como parte de una solución antimalware. Las trampas de spam se utilizan para identificar correos electrónicos de phishing, por lo que crear el mensaje en sí mismo es una de las tareas más críticas para los delincuentes, que miran el contenido y tratan de averiguar si es un mensaje peligroso. Esto puede incluir la antigüedad del nombre de dominio, por ejemplo, si se registró hace sólo unos días, entonces puede ser un nombre de dominio desechable utilizado para la suplantación de identidad (phishing. Si hay enlaces, ¿los enlaces van a lugares diferentes de los que dice el texto? Es una forma antigua y eficaz de engañar a los usuarios. La Fromaddress también es crítica, y ¿cuántos sistemas de correo web pueden alertarle de que un mensaje puede ser spam, si el origen real es diferente de lo que el usuario ve? Los archivos adjuntos solían ser también un gran vector de ataque, pero ahora los clientes modernos bloquean archivos adjuntos inseguros y escanean otros. HTML es ahora un foremail estándar en lugar de texto plano, por lo que los clientes de correo electrónico deben tener cuidado para asegurarse de que su código sea válido, y el contenido no incluye señales de advertencia como scripts, etiquetas mal formadas, marcos, etc.
El hecho de que haya tantos servidores y clientes diferentes allí, y tantos atacantes tratando de entrar, significa que es poco probable que se detenga el phishing. Típicamente, entrar no es el resultado de encontrar una nueva y milagrosa manera de romper una de estas protecciones. En cambio, es un proceso largo y tedioso por parte de los malos de enviar mensajes ligeramente alterados y ver si lo consiguen, hasta que lo consiguen correctamente. Al fin y al cabo, el equilibrio está fuertemente en el lado de los atacantes si tienen suficiente paciencia. Sus protecciones tienen que bloquear todos los correos electrónicos defectuosos, mientras que el atacante sólo necesita que uno de ellos pase y se abra.